19.09.2001, среда

 

ВИРУСЫ: некоторые факты о развитии технологии

В течение длительного времени индустрия антивирусного ПО, представляла из себя своего рода игру в мяч: "вирусописатели" изготавливали программу-вирус, производители антивирусного ПО - через некоторое время после обнаружения вируса и его анализа выпускали программу обновления своих баз данных. Однако постепенно для обхода антивирусных сканеров, вредители начали использовать методику "эволюционного кода", т.е. самоизменяющегося, что в результате вынуждает обратную сторону придумывать новые методы обнаружения вирусов. Пока же единственный выход - еженедельное, иногда ежедневное обновление баз данных антивирусного ПО.

Другое направление, отличное от обнаружения деятельности вируса по "сигнатуре", - отслеживание деятельности всей системы и выявление "подозрительных процессов", иными словами - "эвристический метод" (heuristic). Благодаря этой технологии, компании могут отсеивать электронные письма с подозрительным кодом.

Так называемый, поведенческий анализатор предназначен для контроля поведения программы и блокирования подозрительной активности. Анализатор отслеживает: действия программы непосредственно перед выполнением, исходный код (рассчитан на языки скриптов (Basic for Applications и VBScript)) или последствия действия программы (или сохранение неизменности важных файлов).

Кроме того, не организованная должным образом система контроля за использованием электронной почты может повлечь массу проблем. Почта сотрудников может стать каналом утечки конфиденциальной или компрометирующей информации или же местом проникновения вирусов и внешних атак на информационную систему предприятия.

На рынке присутствуют системы мониторинга и контроля корпоративной электронной почты, осуществляющие проверку всех входящих и исходящих сообщений, а также внутренней корреспонденции. Анализ проводится на основе набора правил. Анализу подвергаются все составляющие электронного письма (в любой кодировке): атрибуты конверта, заголовки, тело сообщения и прикрепленные файлы, включая архивированные данные. В результате система может применить следующие санкции: запретить передачу, отправить в архив, зарегистрировать, послать администратору уведомление о наличии нарушения. Отложенная корреспонденция хранится в базе данных и, соответственно, в дальнейшем может подвергаться статистической обработке.

С целью предотвращения массового распространения эпидемии вирусов компании, владеющие почтовыми серверами (коммерческими, корпоративными или бесплатными для пользователей интернета) ставят антивирусные фильтры на отсев проходящей почты.

Вадим Полей-Добронравов, генеральный директор интернет-агентства "МедиаЛенд", отметил, что установка антивирусного фильтра компании DrWEB на почтовую системы Land.ru, преследовала несколько целей: помочь начинающим пользователям интернета обезопаситься от вирусов, и по возможности, "сбить" волну будущих эпидемий вирусов. Естественно, услуга эта для пользователей бесплатна. В случае обнаружения вируса в пришедшем сообщении оно блокируется, а получателю отсылается сообщение о зараженном письме и указание, как пользователь может получить это письмо, если осталось желание.

Некоторые проблемы с распространением вирусов может решить грамотное администрирование информационной системы (в частности, быстрая установка обновлений), снижающая вероятность проникновения вирусов. На практике, только крупные компании уделяют значительное внимание административным методам защиты.

Также, грамотная настройка так называемых "списков контроля доступа", являющихся основой системы безопасности Windows, позволяет осуществлять управление правами доступа ко всем компонентам операционной системы. Такие списки состоят из отдельных элементов, называемых записями; каждая из них состоит из трех частей: идентификатора пользователя, списка прав доступа и индикатора разрешения или запрещения прав. Естественно, это не спасает от вирусов, но помогает предотвратить умышленное или неумышленное повреждение системных ресурсов системы.

Ежедневное количество обнаруженных вирусов увеличилось с сотен в 80-х годах до 50 тысяч в наши дни.

ГодТипология вирусовПример
1986Boot sector вирусыBrain
1986Вирусы для DOSVirdem
1987e-Mail вирусыChristma Exec
1988Интернет "черви"Morris Worm
1991Первый полиморфный вирусTequila
1995Макро-вирусыConcept
1996Вирус для 32-битной WindowsBoza
1998Троянский вирусы, захват удаленного управленияNetbus
1999Массовые макро-вирусыMelissa
2000Массовые скрипт-вирусыLove Letter
2000Вирусы для КПКPalm Liberty

Источник: Symantec

Согласно IDC, Network Associates, Symantec, Trend Micro и Computer Associates доминируют на рынке антивирусного ПО, оцениваемого в $1.3 млрд. Все из перечисленных фирм используют метод эвристического анализа при обнаружении вирусов. На данный момент, антивирусное ПО должно иметь в своем арсенале не только обновляемую базу данных "сигнатур" вирусов, но иметь качественный экспертный алгоритм анализа файлов и их активности. Все это осложняется новой практикой - написание полиморфных вирусов, направленных против одной цели и с конкретной задачей, т.о. в "диком" виде вирус не встречается - и в данном случае компании приходится защищаться своими силами.

Вернуться на главную страницу обзора

Версия для печати

Опубликовано в 2001 г.

Toolbar | КПК-версия | Подписка на новости  | RSS